Vine Linux インストール & 設定メモ
■ VINE LINUX インストール & 設定メモ ■
--Vine Linux install & Configuration Memo--
 
 
●トップページ
 
●研究員紹介
●研究所規則
●著作権・免責・リンク
●掲示板
●アクセス解析
●お問い合わせ
●更新情報
 
仕事関連

▼お仕事のご依頼

執筆、取材、講演のお問い合わせはこちらからお願いします。

▼広告のご依頼

MM-Labo.com内への広告のご希望はこちらからお願いします。

サーチ


サイト内を検索
WWW全体を検索

Powered By Google

 


x

ipchainsを使ってIPマスカレード(IP masquerade)を実装する。

二つのNICが刺さっていれば、IPマスカレードが実装できるでしょう。

IPマスカレードとはアスキーのデジタル用語辞典によれば、

NATによるIPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDPのポート番号も識別することで、異なる通信ポートを利用するものについては、1つのグローバルIPアドレスを利用して、複数のローカルノードが外部と通信できるようにしたソフトウェア。UNIXシステムの1つであるLinux上で最初に開発された。「masquerade」は「仮面舞踏会」という意味。

だそうです。

LINUX kernelが2.2系列であれば、ipchainsが

LINUX kernelが2.4系列であれば、iptablesが

それぞれ使用できるでしょう。

[ipchainsの場合]

とりあえず、目標として次のような場合を考えます。

       192.168.1.*             

| HOST A | :::::::::::::::::::::: | LINUX Masq-Gate| ::::::::::::::::::::

eth1: 192.168.1.1(ローカルIP)      eth0: 1.2.3.4(グローバルIP)

HOST Aから LINUX GATEWAYを通って、外を見るという一番単純な例です。

上記の設定をする場合、次のようにしましょう。

/sbin/ipchains -P forward DENY (基本的にフォワーディングはしない)

/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ (192.168.1.*からのアクセスについてはmasqueradeする。)

/sbin/ipchains -A input -i ! eth1 -s 192.168.1.0/255.255.255.0 -j DENY (eth1以外に192.168.1.*というアクセスがあることはありえないのでそれは拒絶する。)

/sbin/ipchains -A input -i ! lo -s 127.0.0.0/255.0.0.0 -j DENY (local以外に127.*.*.*というアクセスがあることはありえないのでそれも拒絶する。)

更に外から来るNetBIOSなどへのアクセスを遮断します。

/sbin/ipchains -A input -i eth0 -p udp -s 0/0 137:139 -d 0/0 -j DENY

/sbin/ipchains -A input -i eth0 -p tcp -s 0/0 137:139 -d 0/0 -j DENY

他にもふさぎたいポートがあれば適宜付け加えます。

IPマスカレードするためには更に/proc/sys/net/ipv4/ip_forwardの数字を0から1にする必要があります。

echo 1 > /proc/sys/net/ipv4/ip_forward

として、ip_forwardに書き込みましょう。

/etc/rc.d/init.d/ipchains start

で、上記ルールでのフィルタリングが行われるはずです。

上記で、うまくいっていれば再起動しても同じ設定になるようにしたいでしょう。

/etc/rc.d/rc.localにrc.firewallを実行する旨の記述を書いて、

rc.firewallに上記コマンドを羅列するという書き方もあります。

(実際、JFのIP-Masquerade-HOWTOではそうしています。)

が、ipchainsにはipchains-saveというコマンドがありますので

今回は、それを使うことにしましょう。(Redhat 7.1でもそれを使っているようですので…。)

今までの設定を保存するには次のようにします。

ipchains-save > /etc/sysconfig/ipchains

すると、/etc/sysconfig/ipchainsというファイルが作成され、

その中身は次のようになるでしょう。

:input ACCEPT

:forward DENY

:output ACCEPT

-A input -s 0.0.0.0/0.0.0.0 137:139 -d 0.0.0.0/0.0.0.0 -i eth0 -p 17 -j DENY

-A input -s 0.0.0.0/0.0.0.0 137:139 -d 0.0.0.0/0.0.0.0 -i eth0 -p 6 -j DENY

-A input -s 127.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -i ! lo -j DENY

-A input -s 192.168.1.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i ! eth1 -j DENY

-A forward -s 192.168.1.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ

ルールを追加したくなったら、これに適宜変更を加えた後、

/etc/rc.d/init.d/ipchains restart

を行えば、すぐにルールの変更ができて楽なような気がします。

上記のようにipchains-saveを用いても、起動時には、/proc/sys/net/ipv4/ip_forwardに1を

書き加える必要がありますので

rc.localにでも

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/modprobe ip_masq_ftp (ftpを使えるようにモジュールを組み込む)

/sbin/modprobe ip_masq_raudio (RealAudioを使えるようにモジュールを組み込む)

/sbin/depmod -a

などの記述を追加するといいでしょう。

(上記については、etc/sysctl.confの中の

# Disables packet forwarding

net.ipv4.ip_forward = 0

->

net.ipv4.ip_forward = 1

# Disables automatic defragmentation (needed for masquerading, LVS)

net.ipv4.ip_always_defrag = 0

->

net.ipv4.ip_always_defrag = 1

のようにすればよかったようです。未確認ですが…。)

[オプションの説明]

ipchains -L 現在どのようなフィルタリングの設定がされているのかを表示する

ipchains -F 現在設定されているフィルタールールをすべて削除します

ipchains -A ルールの一番最後に新しいルールを追加する

ipchains -I ルールの最初に新しいルールを追加する

ipchains -j ターゲット ACCEPT, DENY, REJECT, MASQなどを設定する

ipchains -i インターフェイスの設定

ipchains -s 送信元のIPアドレスを設定する

[ターゲットの説明]

ACCEPT パケットを受け入れる

DENY パケットを破棄する

REJECT パケットを拒否する (DENYの破棄と同じように見えるが拒否の場合は発信元に拒否されたことを通知する)

MASQ IPマスカレードを有効にする

 

より詳しい説明は、JFのIPCHAINS-HOWTOIP-Masquerade-HOWTOなどを

読まれると良いと思います。適宜、参考にしてみてください。

ファイアウォール&ネットワークセキュリティ実戦テクニック―すべてのPC UNIXユーザとサイト管理者に贈る最強セキュリティガイド    Software Design Security Issue

ファイアウォール&ネットワークセキュリティ実戦テクニック―すべてのPC UNIXユーザとサイト管理者に贈る最強セキュリティガイド Software Design Security Issue

↑ご購入は、こちらからどうぞ。

内容(「BOOK」データベースより) 本書は技術評論社発行の月刊誌『Software Design』に1997年〜2001年にかけて掲載されたファイアウォール/セキュリティ関連の記事に大幅な加筆/修正を加え、新規記事を追加して再編集した書籍。対象とするプラットフォームはおもにLinux、FreeBSD、SolarisなどのPC UNIXである。

内容(「MARC」データベースより) ネットワークセキュリティにおいて、ファイアウォールは非常に重要なファクター。セキュリティ概論から侵入されたときの対応まで、実戦テクニックを紹介する。『Software design』に掲載されたものをまとめる。

(C) Amazon.co.jp

インターネットセキュリティ 不正アクセスの手法と防御

インターネットセキュリティ 不正アクセスの手法と防御

↑ご購入は、こちらからどうぞ。

出版社/著者からの内容紹介 インターネットという巨大なネットワークには、数多くの恩恵とともに、リスクも存在する。何が危ないのか? どう守ればよいのか? 技術者・現場の担当者のために、攻撃の原理から、いかにセキュリティを保つかという具体的対策まで徹底的に解説。

内容(「BOOK」データベースより) インターネットという巨大なネットワークには、数多くの恩恵とともに、リスクも存在する。いかにセキュリティを保つか徹底的に解説。

内容(「MARC」データベースより) インターネットという巨大なネットワークには、数多くの恩恵とともにリスクも存在する。そんな中で、いかにセキュリティを保てば良いのかを徹底的に解説。何が危ないのか? どう守ればよいのか?

(C) Amazon.co.jp

 

 

10日でおぼえるRed Hat Linux9 サーバ構築・管理入門教室【Red Hat LinuxインストールCD-ROM3枚付き】

↑ご購入は、こちらからどうぞ。

10日でおぼえるRed Hat Linux9 サーバ構築・管理入門教室 書評

出版社/著者からの内容紹介
TCP/IP理論を学びながらRed Hat Linuxで実践!

安全なサーバ運営のためには、OSの知識に加えて、TCP/IPの深い理解が不可欠。本書 は、これからサーバ管理をやろうという人が、ネットワーク理論も実際の管理もいっ ぺんにできるようになるサーバ管理入門書。通常概念的にしか理解されていな いTCP/IPやネットワーク、OSの概念をRed Hat Linuxを用いることで、より具体的な 操作として理解できるのが特徴。


 

apache辞典

↑ご購入は、こちらからどうぞ。

apache辞典 書評

わかりやすい3部構成!サーバー管理者必須の1冊!本書は、Webサーバーの定番、「Apache」を活用するためのリファレンスです。初心者でも安心して使える「基礎用語リファレンス」、用途に沿って使える「目的引きリファレンス」、豊富で複雑なディレクティブも網羅した「ディレクティブリファレンス」の3部構成で、基礎から応用まであらゆるApacheユーザーのニーズに応えます!1.3系/2.0系、UNIX/Windows対応。


 

UNIXコマンドリファレンスユーザー便利帳―UNIXコマンド徹底解説 Quick master (05)

↑ご購入は、こちらからどうぞ。

UNIXコマンドリファレンスユーザー便利帳―UNIXコマンド徹底解説 Quick master (05) 書評

 

サーチ:
Amazon.co.jpアソシエイト

DELLコンピュータ製品一覧

サイトにバナーを張るだけでできるまったく新しいチャリティー参加のカタチ


Vine Linux インストール & 設定 メモ Vine Linux 2.5 On Thinkpad X20
--Vine Linux install & Configuration Memo--


■トップページ ■研究員紹介 ■MM総合研究所規則 ■ 著作権・免責・リンクについて ■アクセス解析 ■お問い合わせ


Valid HTML 4.01!  Valid CSS!  MM-labo

Copyright(C) 2002 - Mitsuharu Matsumoto All rights reserved.